ISO27k – bra för både dig och kunderna

I en tid då data och information är ett hett byte för kriminella är informationssäkerhet en av de bästa investeringarna du kan göra i ditt företag. Ett sätt att få kontrollen på sin informationssäkerhet är att certifiera sig mot ISO27000 – så att du lättare kan mäta säkerhet i organisationen.

Du har säkert sett rubrikerna. ”Miljontals användaruppgifter stulna i stor läcka”, ”Så lurar internetbedragarna dig”, ”Främmande makt misstänks för industrispionage”... Att inte skydda sina data är tyvärr lika vanligt som problematiskt. Därför kräver många kunder idag att deras leverantörer och samarbetspartner ska kunna garantera informationssäkerhet, och det är något som både du som företag och dina kunder tjänar på. I en tid då data och information är det hetaste bytet för inte minst kriminella är det alltså av de bästa investeringarna du kan göra i ditt företag.

Ett sätt att få kontrollen på sin informationssäkerhet är att certifiera sig mot ISO27000, eller ISO27K som det informellt brukar kallas. Samtidigt som du får ett nytt säljargument mot dina kunder får du ett verktyg, en struktur och en hjälp att mäta din säkerhet i organisationen. ISO27k-familjen är precis som andra ISO-standarder en guide för att få både tekniska detaljer och processer på plats. Det kan vid en första anblick vara lätt att skrämmas av mängden standarder som ingår men verkligheten är betydligt mer pragmatisk. Du kan nämligen välja vilka standarder du vill certifieras mot.

Den första, ISO27001, beskriver VAD som ska göras och sätter upp ett ledningssystem för informationssäkerhet på samma sätt som alla andra ISO-standarder. Det betyder att den harmoniserar med de ledningssystem du redan om du är ISO-certifieringar inom något annat område. Resten av ISO27k-familjen, ett knappt femtiotal standarder, beskriver HUR du ska göra. Det kan vara tekniska krav för brandväggar eller kryptering, men det viktigaste att få på plats först ledningssystemet.

Gör analysen
Grunden i arbetet är att göra en riskanalys för din organisation, se vilka behov du har och därefter välja vilka standarder som är tillämpliga för just dig. Då ska du också besvara frågorna varför du gör det här – är det yttre krav från kunder eller ett inre behovISO27002 är till exempel en guide över kontroller du kan göra i din informationsmiljö. Som företag äger du stor frihet över hur du vill gå tillväga. Certifieringsorganen som gör revisioner en gång om året för att se att du efterlever kraven i de standarder du väljer brukar vänta minst ett halvår innan den första certifierande revisionen för att du ska hinna med minst en cykel av processen. På så vis hinner du få koll på din miljö och hur du vill implementera standarden i din organisation.


Vägen till framgång
Det finns olika vägar att komma igång med din ISO27k-certifiering. Du kan köpa standarden, som kostar en slant, och tittar på den själv, du kan anställa någon med rätt kompetens eller så anlitar du extern hjälp. Väljer du det sistnämna finns det även där olika möjligheter. Allt från traditionell konsulttjänst till att köpa ett startpaket. I startpaketet brukar man få ett fast antal konsulttimmar och förlagor till de obligatoriska dokumenten som är ifyllda så långt det är möjligt. Konsulttimmarna kan sedan användas för att skräddarsy dokumentationen utefter ditt företags förutsättningar. Då får du en bra grundplåt att stå på när du påbörjar din process.

Utöver att köpa ett startpaket som är en engångsföreteelse kan du köpa ”CISO-as-a-service” vilket innebär att du får en utpekad konsult som gör förrevisioner i din organisation, och sedan granskar och uppdaterar dokumentationen efter hand. Då bygger konsulten också en relation med företaget som gör att han eller hon vet hur tankegångarna går i just din verksamhet.


Så väljer du konsult
 Om du inte vill ha ett eget team på plats utan väljer att köpa in ISO27k-certifiering som en tjänst finns det ett par saker som är viktiga att tänka på när du väljer leverantör. Det första är att konsulterna har rätt kompetens och erfarenhet. Är de till exempel certifierade Lead Auditors eller Lead Implementors enligt ISO-standarden är det en viss garanti för att de vet vad de håller på med. En annan certifiering som kan vara bra att ha i bagaget är CISSP, Certified Information Systems Security Professional, som är en allomfattande certifiering som innehåller bland annat best practices och riskanalys. Den är också en garant för att den certifierade konsulten har jobbat minst fem år inom området. Relevant yrkeserfarenhet är nämligen också central för att få en duktig konsult. Vissa av certifieringarna kräver nämligen att konsulterna har en kontinuerlig professionell utveckling inom området genom kurser, konferenser och liknande.

Även du som är i ledningsposition eller på annat sätt kommer att komma i kontakt med arbetet kan dra nytta av en utbildning inom området. Experis har i sitt kursutbud till exempel en endagskurs som heter ISO27k Basic som förklarar hur ISO27k fungerar i praktiken, en kurs som passar utmärkt för exempelvis en företagsledning som vill bredda och fördjupa sin förståelse för informationssäkerhet. Vill du gräva ner dig lite mer finns även en tvådagarskurs, ISO27k Foundation, som är ännu mer fördjupande.


Fakta vid val av konsult
Fem viktiga punkter att tänka på när du väljer konsult.

  1. Får du den du betalar för? Gå inte i fällan med att få en meriterad konsult presenterad vid offerten för att sedan få någon helt annan när avtalet är skrivet.
  2. Värdera arbetslivserfarenhet. Utbildning i alla ära men arbetslivserfarenhet utöver utbildning är det som verkligen skapar förmåga att leda dig till en ISO27k-certifiering.
  3. Kontrollera kompetensen. Rätt kompetenser är ett kvitto på att konsulten vet vad den talar om. 
  4. Väg in personkemi. Planerar du att köpa in CISO som en tjänst? I ett långvarigt samarbete skapas mycket affärsnytta, och då är personkemi en viktig faktor.
  5. Utbilda dig själv. Ta en orienterande endagskurs, det tjänar du på både i vardagen och vid upphandlingar eftersom du då förstår behovet och kraven på ett annat sätt.

  Läs mer om våra cybersäkerhetsutbildningar här!